يتم تسويق آلة حصاد أوراق اعتماد ناشئة تعتمد على لغة بايثون وأداة قرصنة تسمى Legion عبر Telegram كوسيلة لاقتحام الجهات الفاعلة في التهديد خدمات متنوعة عبر الإنترنت لمزيد من الاستغلال.
يتضمن Legion ، وفقًا لـ Cado Labs ، وحدات لتعداد خوادم SMTP الضعيفة ، وتنفيذ هجمات تنفيذ التعليمات البرمجية عن بُعد (RCE) ، واستغلال الإصدارات غير المصححة من Apache ، وحسابات cPanel و WebHost Manager (WHM).
يقال إن البرنامج الضار يشبه عائلة البرامج الضارة الأخرى المسماة AndroxGh0st والتي تم توثيقها لأول مرة بواسطة مزود خدمات الأمان السحابية Lacework في ديسمبر 2022.
كشفت شركة الأمن السيبراني SentinelOne ، في تحليل نُشر في أواخر الشهر الماضي ، أن AndroxGh0st جزء من مجموعة أدوات شاملة تسمى AlienFox تُعرض على الجهات الفاعلة في التهديد لسرقة مفاتيح وأسرار واجهة برمجة التطبيقات من الخدمات السحابية.
قال الباحث الأمني مات موير لصحيفة The Hacker News: "يبدو أن Legion جزء من جيل ناشئ من أدوات جمع بيانات الاعتماد / البريد العشوائي التي تركز على السحابة". "غالبًا ما يسرق مطورو هذه الأدوات رمز بعضهم البعض ، مما يجعل الإسناد إلى مجموعة معينة أمرًا صعبًا".
إلى جانب استخدام Telegram كنقطة لتصفية البيانات ، تم تصميم Legion لاستغلال خوادم الويب التي تشغل أنظمة إدارة المحتوى (CMS) أو PHP أو الأطر المستندة إلى PHP مثل Laravel.
وقالت Cado Labs: "يمكنها استرداد بيانات الاعتماد لمجموعة واسعة من خدمات الويب ، مثل مزودي البريد الإلكتروني ومقدمي الخدمات السحابية وأنظمة إدارة الخادم وقواعد البيانات ومنصات الدفع مثل Stripe و PayPal".
تتضمن بعض الخدمات المستهدفة الأخرى SendGrid و Twilio و Nexmo و AWS و Mailgun و Plivo و ClickSend و Mandrill و Mailjet و MessageBird و Vonage و Exotel و OneSignal و Clickatell و TokBox.
الهدف الأساسي للبرامج الضارة هو تمكين الجهات المهددة من اختطاف الخدمات وتسليح البنية التحتية لهجمات المتابعة ، بما في ذلك تصاعد البريد العشوائي الجماعي وحملات التصيد الانتهازي.
قالت شركة الأمن السيبراني إنها اكتشفت أيضًا قناة على YouTube تحتوي على مقاطع فيديو تعليمية حول كيفية استخدام Legion ، مما يشير إلى أن "الأداة موزعة على نطاق واسع ومن المحتمل أنها برامج ضارة مدفوعة الأجر". قناة يوتيوب ، التي تم إنشاؤها في 15 يونيو 2021 ، لا تزال نشطة حتى كتابة هذا التقرير.
علاوة على ذلك ، يسترد Legion بيانات اعتماد AWS من خوادم الويب غير الآمنة أو الخاطئة التكوين ويقدم رسائل SMS غير مرغوب فيها لمستخدمي شبكات الهاتف المحمول الأمريكية مثل AT&T و Sprint و T-Mobile و Verizon و Virgin.
وقال الباحث الأمني مات موير "للقيام بذلك ، يسترد البرنامج الضار رمز المنطقة لحالة أمريكية يختارها المستخدم من موقع www.randomphonenumbers.com". "ثم يتم استخدام وظيفة توليد الأرقام الأولية لإنشاء قائمة بأرقام الهواتف المستهدفة."
علاوة على ذلك ، يمكن لـ Legion استرداد بيانات اعتماد AWS من خوادم الويب غير الآمنة أو التي تم تكوينها بشكل خاطئ وتقديم رسائل SMS غير مرغوب فيها لمستخدمي شبكات الهاتف المحمول الأمريكية مثل AT&T و Sprint و T-Mobile و Verizon و Virgin من خلال الاستفادة من بيانات اعتماد SMTP المسروقة.
وقال موير "للقيام بذلك ، يسترد البرنامج الضار رمز المنطقة لحالة أمريكية يختارها المستخدم من موقع www.randomphonenumbers [.] com". "ثم يتم استخدام وظيفة توليد الأرقام الأولية لإنشاء قائمة بأرقام الهواتف المستهدفة."
جانب آخر ملحوظ من Legion هو قدرته على استغلال ثغرات PHP المعروفة لتسجيل غلاف ويب للوصول المستمر عن بعد أو تنفيذ تعليمات برمجية ضارة.
لا تزال أصول ممثل التهديد وراء الأداة ، والذي يستخدم الاسم المستعار "forzatools" على Telegram ، غير معروف ، على الرغم من وجود تعليقات باللغة الإندونيسية في كود المصدر يشير إلى أن المطور قد يكون إندونيسيًا أو مقيمًا في البلد.
أخبر أليكس ديلاموت ، الباحث الأمني في SentinelOne ، The Hacker News أن الاكتشاف الأخير "يسلط الضوء على بعض الوظائف الجديدة" التي لم يتم ملاحظتها سابقًا في عينات برنامج AlienFox وأن قطعتين من البرامج الضارة عبارة عن مجموعتين مختلفتين من الأدوات.
وأوضح ديلاموت: "هناك العديد من التداخلات في الميزات ، ومع ذلك يتم تطوير الأدوات بشكل مستقل ويختلف التنفيذ". "أعتقد أن الممثلين يمارسون شكلهم الخاص من ذكاء الأعمال ، ويشاهدون الميزات التي طورتها مجموعات الأدوات الأخرى وينفذون ميزات مماثلة في أدواتهم الخاصة."
قال موير: "نظرًا لأن هذه البرامج الضارة تعتمد بشكل كبير على التكوينات الخاطئة في تقنيات وأطر عمل خادم الويب مثل Laravel ، فمن المستحسن أن يقوم مستخدمو هذه التقنيات بمراجعة عمليات الأمان الحالية الخاصة بهم والتأكد من تخزين الأسرار بشكل مناسب".